Découvrez comment autoriser ou refuser l'utilisation d'une fonctionnalité de la Privacy Sandbox sur la page.
Présentation des règles sur les autorisations
La règle d'autorisation est un mécanisme de plate-forme Web qui permet à une page de contrôler l'accès aux fonctionnalités de la page. À l'aide de la règle d'autorisation, une page peut autoriser ou refuser une fonctionnalité à la page de premier niveau elle-même et aux iFrames multi-origines intégrés.
Lorsque le navigateur envoie une requête, l'en-tête de réponse de la page peut définir les règles à appliquer. De plus, la balise iframe définit l'attribut allow si nécessaire pour activer la fonctionnalité dans l'iframe (si le parent dispose également de l'autorisation). Les autorisations sont déléguées du parent à l'enfant, et l'élément enfant d'un iframe reçoit les autorisations du frame parent.
La stratégie d'autorisations fonctionne avec l'en-tête de réponse et l'attribut allow sur les iFrames. La fonctionnalité n'est autorisée que si elle est autorisée à la fois par l'en-tête de réponse et par l'attribut allow. Lorsqu'aucun en-tête de règle d'autorisation n'est fourni, la valeur par défaut de chaque règle d'en-tête de fonctionnalité est *. Lorsque l'attribut allow d'un iframe n'est pas défini, la valeur par défaut est la valeur de la liste d'autorisation par défaut.
Si la liste d'autorisation par défaut est *, la fonctionnalité est disponible par défaut pour la page de premier niveau et tous les éléments iframe inter-origines de la page. Il est équivalent à <iframe src="some-url" allow="feature *"/>, et l'attribut allow n'a pas besoin d'être défini sur l'iframe.
Si la valeur est self, la fonctionnalité n'est disponible que pour la page de niveau supérieur (et les iFrames de même origine), et non pour les iFrames multi-origines sans délégation explicite de la part de la page. Il équivaut à <iframe src="some-url" allow="feature 'self'"/>, où self est l'origine de l'intégrateur. Par conséquent, la balise allow doit être définie pour activer la fonctionnalité dans un iframe inter-origine.
Pour en savoir plus sur le règlement sur les autorisations, consultez les contenus suivants:
- Présentation pour les développeurs sur le contrôle des fonctionnalités du navigateur avec la stratégie d'autorisations – Chrome pour les développeurs
- Documentation de référence pour les développeurs sur le Règlement sur les autorisations
- Projet de travail hébergé par le W3C pour la règle d'autorisation
Règles d'autorisation pour les fonctionnalités de la Privacy Sandbox
Le tableau suivant répertorie les API Privacy Sandbox contrôlées par le règlement sur les autorisations:
| API | Directive | Description | Liste d'autorisation par défaut |
|---|---|---|---|
|
Rapports sur l'attribution
(Guide / Spécifications) |
attribution-reporting |
Autorise l'utilisation de l'API Attribution Reporting | * |
|
Federated Credential Management
(Guide / Spécifications) |
identity-credentials-get |
Permet d'obtenir un objet d'identifiant | self |
| Private Aggregation | private-aggregation |
Permet de créer des rapports à l'aide de Private Aggregation | * |
|
Jetons d'état privés
(guide/spécification) |
private-state-token-issuance |
Permet de demander un jeton |
* à partir de Chrome 132 et versions ultérieures
self dans les versions précédentes
|
private-state-token-redemption |
Permet d'utiliser un jeton et d'envoyer un enregistrement d'utilisation |
* à partir de Chrome 132 et versions ultérieures
self dans les versions précédentes
|
|
|
Protected Audience
(Guide / Spécifications) |
join-ad-interest-group |
Permet d'ajouter un utilisateur à un groupe de centres d'intérêt pour le site |
* lors des tests
self à l'avenir
|
run-ad-auction |
Permet de lancer une mise aux enchères d'annonces | * |
|
| Stockage partagé | shared-storage |
Permet de lire et d'écrire avec l'espace de stockage partagé | * |
shared-storage-select-url |
Permet d'exécuter l'opération Sélection d'URL | * |
|
|
Accès au stockage
(Guide / Spécifications) |
storage-access |
Autorise l'accès à l'API Storage Access | * |
requestStorageAccessFor
(Guide / Spécifications) |
top-level-storage-access |
Permet d'accéder à l'accès de premier niveau via requestStorageAccessFor() pour les sites regroupés dans un ensemble de sites Web associés |
* |
|
Thèmes
(Guide / Spécifications) |
browsing-topics |
Permet de générer des sujets pour l'utilisateur et de les lire | * |
|
User-Agent Client Hints
(Guide / Spécifications) |
Consultez le guide pour obtenir la liste complète des en-têtes. | Permet à l'utilisateur à l'origine de la requête d'accéder à l'indice client spécifié. | Consultez la spécification pour obtenir la liste complète des valeurs de la liste d'autorisation par défaut. |
Contrairement aux cookies tiers, pour lesquels le propriétaire de la page n'a aucun contrôle précis sur la façon dont les cookies sont utilisés par les iFrames tiers, une page peut autoriser ou non l'utilisation des API Privacy Sandbox par la page elle-même et les tiers sur la page à l'aide de la stratégie d'autorisations. Par exemple, un propriétaire de page, comme un éditeur, peut utiliser la règle d'autorisation pour autoriser des tiers spécifiés à lancer une mise aux enchères d'annonces ou interdire à tous les tiers de lire les sujets de l'utilisateur.
De nombreuses fonctionnalités de la Privacy Sandbox utilisent la valeur de la liste d'autorisation par défaut *, qui permet à tous les iFrames intersites d'utiliser la fonctionnalité, sauf si elle est limitée par la règle d'autorisation. Le propriétaire de la page peut remplacer la règle par défaut et utiliser sa propre règle, n'autorisant que les origines spécifiées sur la page à utiliser la fonctionnalité. Notez que le comportement par défaut des cookies est d'être autorisé dans tous les cadres, à l'exception des iFrames isolées dans un bac à sable. Toutefois, ils ne sont pas couverts par le règlement sur les autorisations et leur utilisation ne peut pas être contrôlée par l'intégrateur. *.
Certaines fonctionnalités de la Privacy Sandbox utilisent la valeur de la liste d'autorisation par défaut self, qui interdit aux iFrames inter-origines d'utiliser la fonctionnalité sans déclaration explicite. Le propriétaire de la page doit utiliser l'attribut allow lors de la création d'iFrames inter-origines pour autoriser l'accès à la fonctionnalité. À l'avenir, la valeur par défaut de la liste d'autorisation de certaines API Privacy Sandbox, comme la directive join-ad-interest-group pour Protected Audience, sera remplacée par self. D'autres API pourront passer à self comme liste d'autorisation par défaut à l'avenir.